Black Hat Asia Forensics の Matt Hastings 氏と Ryan Kazanciyan 氏が、Windows Desired State Configuration (DSC) を秘密の永続化メカニズムと武器に変え、Windows ボックスに対する新しい攻撃ベクトルを作成しました。
Tanium のセキュリティ デュオは、攻撃者が DSC を使用できるようにし、混乱を招き、文書化されていないバグを解消する PowerShell スクリプトとモジュールの DSCompromised フレームワークをリリースしました。
彼らは先週シンガポールで開催された Black Hat Asia で、DSC を悪用する攻撃者は継続的かつ密かに Windows システムを再感染させることができると語った。
2人は、犯罪者が独自に攻撃経路を見つける前に、この新しい攻撃を世に知らしめ、セキュリティコミュニティに防御策を提案することに熱心だったと語る。
「適切に修復されない場合、DSC はユーザーに通知することなく、ファイルを再度ドロップしてマルウェアを再実行することで、被害者を自動的に再感染させます」と Kazanciyan 氏は言う。
「この攻撃が実際に起こっている例はまだ見ていません。だからといって、起こっていないというわけではありません。しかし、これを公表してレッドチームとブルーチームが気づけるようになれば、という希望が湧きます。」
彼らの攻撃は DSC プル モードで実行され、侵害されたクライアントがインターネット上または被害者のネットワーク内にあるサーバーに HTTPS 経由でリクエストを発行します。
視聴: | ダウンロード | スライド (11 ページ目から) DSCompromised: Windows DSC 攻撃フレームワーク。
PowerShell 3以降には、スクリプト実行時に管理者に警告を発するスクリプトおよびモジュールのログ機能が搭載されており、Hastings氏とKazanciyan氏の攻撃もログに記録されます。さらに、PowerShell 5のスクリプトヒューリスティックは、攻撃実行時にいくつかのフラグをトリガーする可能性がありますが、Hastings氏とKazanciyan氏はその有効性を検証していません。
マット・ヘイスティングス(ライアン・カザンシアンはカメラの外にいる)。
2人は、関心のあるハッカーに対し、GitHub でホストされている DSCompromised フレームワークに貢献するよう呼びかけています。®
